Управление информационной безопасностью. Стандарты СУИБ

– характере несоответствий;

– любых корректирующих действиях;

– результатах корректирующих действий.

Постоянное улучшение

Организация должна постоянно улучшать пригодность, адекватность и результативность СУИБ.

3. Свод правил управления ИБ

(стандарт ISO/IEC 27002:2013)

В 2000 году первая часть британского национального стандарта BS 7799—1 «Практические правила управления ИБ» была принята в качестве международного стандарта ISO/IEC 17799 «ИТ. Практические правила управления ИБ». В 2005 году на его основе был разработан новый международный стандарт ISO/IЕС 27002 «ИТ. Meтоды защиты. Свод норм и правил управления ИБ», который был опубликован в июле 2007 года. Последнее обновление стандарта состоялось 25 сентября 2013 года.

Стандарт предлагает рекомендации и основные принципы введения, реализации, поддержки и улучшения СУИБ в организации. Он может служить практическим руководством по разработке стандартов безопасности организации, для эффективной практики УИБ организаций и способствует укреплению доверия в отношениях между организациями.

Стандарт состоит из 14 разделов, посвященных мерам безопасности, которые все вместе содержат, в целом, 34 основные категории безопасности и 114 мер защиты:

1) политика ИБ (1);

2) организация ИБ (2);

3) безопасность, связанная с персоналом (3):

4) управление активами (3);

5) управление доступом (4);

6) криптография (1);

7) физическая и экологическая безопасность (2);

8) безопасность операций (7);

9) безопасность связи (2);

10) приобретение, разработка и поддержка ИС (3);

11) взаимоотношения с поставщиками (2);

12) управление инцидентами ИБ (1);

13) аспекты ИБ при управлении непрерывностью бизнеса (2);

14) соответствие требованиям (2).

Каждая основная категория безопасности включает в себя:

– цель ИБ;

– меры достижения этой цели.

Описание мер ИБ структурируется таким образом:

– меры и средства ИБ;

– рекомендации по их реализации.

1. Политика ИБ

1.1. Руководящие положения для ИБ

Цель: Реализовать требования политики ИБ и обеспечить поддержку для ИБ в соответствии с требованиями бизнеса и действующим законодательством.

Политика ИБ предполагает следующие мероприятия:

– документирование;

– пересмотр.

Документирование

Меры и средства

Политика ИБ документируется оформлением, утверждением, публикованием и доведением до персонала и внешних заинтересованных сторон.

Рекомендации по реализации

В лучшем случае, политика ИБ должна устанавливать ответственность руководства, а также излагать подход организации к УИБ.

Политика ИБ должна содержать требования:

– стратегии бизнеса;

– законодательства и договорных обязательств;

– защиты от существующих и потенциальных угроз ИБ.

Политика ИБ должна содержать положения по:

– определению ИБ, ее целей и принципов для руководства действиями по обеспечению ИБ;

– определению ответственности разных ролей с учетом специфики управления ИБ;

– изложения намерений руководства, поддерживающих цели и принципы ИБ в соответствии со стратегией и целями бизнеса;

– процессов управления изменениями и исключениями.